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<§) Verfahren zum rechnergestutzten Austausch kryptographischer Schlussel zwischen einer 
Benutzercomputereinheit U und einer Netzcomputereinheit N 

(g) Die Erfindung betrifft ein Verfahren, mit dem ein Sitzungs- 
schlussel (K) zwischen einer Benutzercomputereinheit (U) 
und einer Netzcomputereinheit (N) vereinbart werden kann, 
ohne daB ein unbefugter Dritter nutzttche Information 
bezuglich der Schlussel oder der Identitat der Benutzercom- 
putereinheit (U) ertialten kann. Dies wird erreicht durch die 
Einbettung das Prinzips des EI-Gamal Schlusselaustauschs 
in das erfindungsgema&e Verfahren. Durch die Verwendung 
zweier ZufaJIszahlen (t, r) wird die Alctualitat des Sitzungs- 
schltissels (K) gewahrlaistet. Der Sitzungsschlussel (K) 
selbst wird niemals Qbertragen und kann somit nicht von 
einem unbefugten Dritten ermittalt werden. 
Au&erdem bietet das erfindungsgemaSe Verfahren zusatzli- 
che Sicherheitsmechanismen, wie z. B. die explizite Authen- 
tifikation der Netzcomputereinheit (N) durch die Benutzer- 
computereinheit (U) oder auch die Bestatigung des Sit- 
zungsschlussels (K) von der Netzcomputereinheit (N) an die 
Benutzercomputereinheit (B). 
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Beschreibung 

Infonxiationstechnische Systeme unterliegen ver- 
schiedenen Bedrohungea So kann z. B. Qbertragene In- 
formation von einem unbefugten Dritten abgehort und < 
verandert werden, Eine weitere Bedrohung bei der 
Kommunikation zweier Kommunikationspartner Iiegt 
in der Vorspiegelung einer falschen Identitat eines 
Kommunikationspartners. 

Diesen und weiteren Bedrohungen wird durch ver- k 
schiedene Sicherheitsmechanismen, die das informa- 
tionstechnische System vor den Bedrohungen schutzen 
sollen, begegnet Ein zur Sicherung verwendeter Sicher- 
heitsmechanismus ist die Verschiusseiung der ubertra- 
genen paten. Damit die Daten in einer Kommunika- 15 
tionsbeziehung zwischen zwei Kommunikationspart- 
nern verschlusselt werden konnen, raussen vor der 
Cbertragung der eigentlichen Daten erst Schritte 
durchgefuhrt werden, die die Verschiusseiung vorberei- 
ten. Die Schritte k5nnen z. B. darin bestehen, daB sich 20 
die beiden Kommunikationspartner auf einen Ver- 
schlQsseiungsalgorithmus einigen und daB ggf. die ge- 
meinsamen geheimen Schlussel vereinbart werden. 

Besondere Bedeutung gewinnt der Sicherheitsmecha- 
nismus Verschiusseiung bei Mobilfunksystemen, da die 25 
Ubertragenen Daten in diesen Systemen von jedem 
Dritten ohne besonderen zusatzlichen Aufwand abge- 
h6rt werden kdnnen. 

Dies fuhrt zu der Anforderung, eine Auswahl bekann- 
ter Sicherheitsmechanismen so zu treffen und diese Si- 30 
cherheitsmechanismen geeignet zu kombinieren, sowie 
Kommunikationsprotokolle zu spezifizieren, daB durch 
sie die Sicherheit von informationstechnischen Syste- 
men gewahrleistet wird. 

Es sind verschiedene asymmetrische Verfahren zum 35 
rechnergestutzen Austausch kryptographischer Schliis- 
sel bekannt Asymmetrische Verfahren, die geeignet 
sind fur Mobilfunksysteme, sind (A. Aziz, W. Diffie, "Pri- 
vacy and Authentication for Wireless Liocal Area Net- 
works", IEEE Personal Communications, 1994, S. 25 bis 40 
31) und (M. Beller, "Proposed Authentication and Key 
Agreement Protocol for PCS", loint Experts Meeting on 
Privacy and Authentication for Personal Communica- 
tions, P&A JEM 1993, 1993, S. 1 bis 1 1). 

Das in (A. Aziz, W. Diffie, "Privacy and Authentication 45 
for Wireless Local Area Networks" IEEE Personal 
Communications, 1994, S. 25 bis 31) beschriebene Ver- 
fahren bezieht sich ausdrflcklich auf lokale Netzwerke 
und stellt h6here Rechenleistungsanforderungen an die 
Computereinheiten der Kommunikationspartner wah- 50 
rend des SchlOsselaustauschs. AuBerdem wird in dem 
Verfahren mehr Cbertragungskapazitat benotigt als in 
dem erfindungsgemafien Verfahren, da die Lange der 
Nachrichten grdBer ist als bei dem erfindungsgemaBen 
Verfahren. 55 

Das in (M. Beller, "Proposed Authentication and Key 
Agreement Protocol for PCS", Joint Experts Meeting on 
Privacy and Authentication for Personal Communica- 
tions, P&A JEM 1993, 1993, S. 1 bis 11) beschriebene 
Verfahren hat einige grundlegende Sicherheitsziele so 
nicht realisiert Die explizite Authentifikation des Net- 
zes durch den Benutzer wird nicht erreicht AuBerdem 
wird ein vom Benutzer an das Netz Qbertragener 
Schlussel vom Netz nicht an den Benutzer bestatigt 
Auch eine Zusicherung der Frische (Aktualitat) des 65 
SchlOssels fur das Netz ist nicht vorgesehen. Ein weite- 
rer Nachteil dieses Verfahrens besteht in der Beschran- 
kung auf das Rabin- Verfahren bei der impliziten Au- 
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thentifizierung des SchlOssels durch den Benutzer. Dies 
schrankt das Verfahren in einer flexibleren Anwendbar- 
keit ein. AuBerdem ist kein Sicherheitsmechanismus 
vorgesehen, der die Nichtabstreitbarkeit von ubertrage- 
nen Daten gewahrleistet Dies ist ein erheblicher Nach- 
teil vor allem auch bei der Ersteilung unanfechtbarer 
Gebuhrenabrechnungen fur ein Mobilfunksystem. Auch 
die Beschrankung des Verfahrens auf den National In- 
stitute of Standards in Technology Signature Standard 
(NIST DSS) als verwendete Signaturfunktion schrankt 
das Verfahren in seiner allgemeinen Verwendbarkeit 
ein. 

Aus der US-Patentschrift US 5 222 140 ist ein Verfah- 
ren bekannt, bei dem unter Verwendung sowohl eines 
offentlichen als auch eines geheimen Schiussels sowie 
unter Verwendung einer Zufallszahl ein SitzungsschlQs- 
sel erzeugt wird. Dieser wird mit einem offentlichen 
SchlQssel verknupft 

Dieses Verfahren weist im Vergleich zu dem erfin- 
dungsgemaBen Verfahren weniger realisierte grundle- 
gende Sicherheitsziele auf. 

Weiterhin ist aus der Patentschrift US 5 153 919 ein 
Verfahren beschrieben, bei dem eine Benutzereinheit 
sich gegenuber einer Netzeinheit identifiziert Anschiie- 
flend findet unter Anwendung einer Hash-Funktion zwi- 
schen der Benutzereinheit und der Netzeinheit ein Au- 
thentifizxerungsprozeB start 

Weitere sichere Kommunikationsprotokolle, die aber 
wesentliche grundlegende Sicherheitsziele nicht reali- 
sieren, sind bekannt (M. Beller et al, Privacy and Au- 
thentication on a Portable Communication System, 
IEEE Journal on Selected Areas in Communications, 
Vol 1 1, No. 6, a 821 -829, 1993> 

Das Problem der Erfindung liegt darin, ein Verfahren 
zum rechnergestutzten Austausch kryptographischer 
Schlussel anzugeben, das die oben genannten Nachteile 
vermeidet 

Dieses Problem wird durch das Verfahren gemaB Pa- 
tentanspruch 1 gelost 

Die durch das erfindungsgemafle Verfahren erreich- 
ten Vorteile liegen vor allem in einer erheblichen Re- 
duktion der Lange der ubertragenen Nachrichten und in 
der Realisierung weiterer Sicherheitsziele. 

Durch das erfindungsgemaBe Verfahren werden fol- 
gende Sicherheitsziele realisiert: 

— Gegenseitige explizite Authentifizierung von 
dem Benutzer und dem Netz, d. h. die gegenseitige 
Verifizierung der behaupteten Identitat, 

— Schlusselvereinbarung zwischen dem Benutzer 
und dem Netz mit gegenseitiger impliziter Authen- 
tifizierung, d. h, daB durch das Verfahren erreicht 
wird, daB nach AbschluB der Prozedur ein gemein- 
samer geheimer Sitzungsschlussel zur Verfugung 
stent von dem jede Partei weiB, daB nur das au- 
thentische Gegenuber sich ebenfalls im Besitz des 
geheimen Sitzungsschlussels befinden kann, 

— Zusicherung der Frische (Aktualitat) des Sit- 
zungsschlussels fur den Benutzer, 

— gegenseitige Bestatigung des Sitzungsschlussels 
von dem Benutzer und dem Netz, d. h. die Bestati- 
gung, daB das Gegenuber tatsachlich im Besitz des 
vereinbarten geheimen Sitzungsschlussels ist 

Durch die Weiterbildung gemafl Patentanspruch 2 
wird das Sicherheitsziel der Zusicherung der Frische 
(Aktualitat) des Sitzungsschlussels fur das Netz reali- 
siert 
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Die Weiterbildung des erfindungsgemafien Verfah- 
rens gemaB Patentanspruch 3 ermOglicht die Verwen- 
dung von temporaren Benutzeridentitaten. 

Durch die Weiterbildung des erfindungsgemaBen 
Verfahrens gem&B Patentanspruch 4 wird das Sicher- 
heitS2del der Benutzeranonymitat realisiert, d. h. die Ver- 
traulichkeit der Identitatdes Benutzers gegenCber Drit- 
ten. 

Durch die Weiterbildung des erfindungsgemaBen 
Verfahrens gemaB Patentanspruch 6 wird zusatzlich das 
Sicherheitsziel der Nichtabstreitbarkeit von Daten rea- 
lisiert, die vom Benutzer an das Netz gesendet wurden. 

Das erfindungsgemaBe Verfahren ist auBerdem sehr 
leicht an unterschiedliche Anforderungen anpaBbar, da 
es sich nicht auf bestimmte Algorithmen fQr Signaturbil- 
dung und Verschlfisseiung beschrankt 

Weiterbiidungen der Erfindung ergeben sich aus den 
abhangigen AnsprGchen. 

Die Zeichnungen stellen bevorzugte Ausfuhrungsbei- 
spiele der Erfindung dar, die im folgenden naher be- 
schrieben werden. 

Es zeigen 

Fig. 1 ein Ablaufdiagramm, das das erfindungsgema- 
Be Verfahren gemaB Patentanspruch 1 darstellt; 

Fig. 2 ein Diagramm, das das erfindungsgemaBe Ver- 
fahren mit zusatzlich realisierten Sicherheitszielen ge- 
maB einiger abhangiger Patentanspriiche beschreibt 

Anhand der Fig. 1 und 2 wird die Erfindung weiter 
erlautert 

In den Fig. 1 und 2 sind durch zwei Skizzen der Ab- 
lauf des erfindungsgemaBen Verfahrens dargestellt. Das 
erfindungsgemaBe Verfahren betrifft den Austausch 
kryptographischer SchlQssel zwischen einer Benutzer- 
computereinheit U und einer Netzcomputereinheit N, 
wobei unter der Benutzercomputereinheit U eine Com- 
putereinheit eines Benutzers eines Mobilfunknetzes zu 
verstehen ist und unter einer Netzcomputereinheit N 
eine Computereinheit des Netzbetreibers eines Mobil- 
f unksystems zu verstehen ist 

Die Erfindung beschrankt sich jedoch nicht auf ein 
Mobilf unksystem und somit auch nicht auf einen Benut- 
zer eines Mobilfunksystems und das Netz, sondern kann 
in alien Bereichen angewendet werden, in denen ein 
kryptographischer Schlusselaustausch zwischen zwei 
Kommunikationspartnern bendugt wird Dies kann z. B. 
in einer Kominunikationsbeziehung zwischen zwei 
Rechnern, die Daten in verschliisselter Form austau- 
schen wollen, der Fall sein. Ohne Beschrankung der AU- 
gemeingiiltigkeit wird im folgenden also ein erster 
Kommunikationspartner als Benutzercomputereinheit 
U und ein zweiter Kommunikationspartner als Netz- 
computereinheit N bezeichnet 

Fur das erfindungsgemaBe Verfahren gemaB An- 
spruch 1 wird vorausgesetzt daB in der Benutzercom- 
putereinheit U ein vertrauenswiirdiger dffentlicher 
Netzschlussel g* der Netzcomputereinheit N verfUgbar 
ist und daB in der Netzcomputereinheit N ein vertrau- 
enswiirdiger offentlicher Benutzerschliissel 6u der Be- 
nutzercomputereinheit U verfOgbar ist, wobei g ein er- 
zeugendes Element einer endlicben Gruppe ist 

In der Benutzercomputereinheit U wird eine erste 
Zuf allszahl t generiert Aus der ersten ZufaUszahl t wird 
mit Hilfe des erzeugenden Elements g einer endlichen 
Gruppe in der Benutzercomputereinheit U ein erster 
Wertg^ebildet 

Asymmetrische Verfahren beruhen im wesentlichen 
auf zwei Problemen der Komplexitatstheorie, dera Pro- 
blem zusammengesetzte Zahlen effizient zu faktorisie- 
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ren, und dem diskreten Logarithmusproblem (DLP> 
Das DLP besteht darin, daB in geeigneten Rechenstruk- 
turen zwar Exponentiationen effizient durchgefuhrt 
werden kdnnen, daB jedoch fur die Umkehrung dieser 
5 Operation, das Logarithmieren, keine effizienten Algo- 
rithmen bekannt sind. 

Solche Rechenstrukturen sind z. B. unter den oben 
bezeichneten endlichen Gruppen zu verstehen. Diese 
sind z. B. die multiplikative Gruppe eines endlichen Kdr- 

io pers (z. B Multiplizieren Modulo p, wobei p eine groBe 
Primzahl ist), oder auch sogenannte "ellipusche Kur- 
ven". Elliptische Kurven sind vor allem deshalb interes- 
sant, weil sie bei gleichem Sicherheitsniveau wesentliche 
kQrzere Sicherheitsparameter erlauben. Dies betrifft die 

15 L§nge der offentlichen Schlussel, die Lange der Zertifi- 
kate, die Lange der bei der Sitzungsschlusselvereinba- 
rung auszutauschenden Nachrichten sowie die Lange 
von digitalen Signatures die jeweils im weiteren be- 
schrieben werden, Der Grund dafur ist daB die f Or ellip- 

20 tische Kurven bekannten Logarithmierverfahren we- 
sentlich weniger effizient sind als die fur endliche Kor- 
per. 

Eine groBe Primzahl in diesem Zusamrnenhang be- 
deutet daB die GroBe der Primzahl so gewahlt werden 

25 muB, daB die Logarithmierung so aufwendig ist, daB sie 
nicht in vertretbarer Zeit durchgefQhrt werden kann. 
Vertretbar bedeutet in diesem Zusamrnenhang einen 
Zeitraum entsprechend der Sicherheitspolitik von meh- 
reren Jahren bis Jahrzehnten und langer. 

30 Nach der Berechnung des ersten Werts g l wird eine 
erste Nachricht Ml codiert, die mindestens den ersten 
Wert g* aufweist Die erste Nachricht Ml wird von der 
Benutzercomputereinheit U an die Netzcomputerein- 
heit N ubertragen. 

35 In der Netzcomputereinheit N wird die erste Nach- 
richt Ml decodiert Die erste Nachricht Ml kann auch 
fiber einen unsicheren KanaL also auch fiber eine Luft- 
schnitts telle, unverschlusselt ubertragen werden, da die 
Logarithmierung des ersten Wertes g* nicht in vertret- 

40 barer Zeit durchgefuhrt werden kann. 

Wie in Fig. 2 beschrieben, kann es vorgesehen sein, 
daB in der Netzcomputereinheit N eine zweite ZufaUs- 
zahl r generiert wird. Durch diesen zusatzlichen Verfah- 
rensschritt wird ein zusatzliches Sicherheitsziel reali- 

45 siert: die Zusicherung der Frische (Aktualitat) eines im 
folgenden beschriebenen Sitzungsschlussels K fur die 
Netzcomputereinheit N. 

In der Netzcomputereinheit N wird mit Hilfe einer 
ersten Hash-Funktion hi ein Sitzungsschlttssel K gebil- 

so det Als eine erste EingangsgrdBe der ersten Hash- 
Funktion hi wird mindestens ein erster Term verwen- 
det Der erste Term wird gebiidet indern der erste Wert 
g c potenziert wird mit einem geheimen Netzschlussels. 
Unter einer Hash-Funktion ist in diesem Zusammen- 

55 hang eine Funktion zu verstehen, bei der es nicht mdg- 
lich ist, zu einem gegebenen Funktionswert einen pas- 
senden Eingangswert zu berechnen. Ferner wird einer 
beliebig iangen Eingangszeichenfolge eine Ausgangs- 
zeichenfolge fester Lange zugeordnet Des weiteren 

60 wird fur die Hash-Funktion in diesem Zusamrnenhang 
ICollisionsfreiheit gefordert dh.es darf nicht moglich 
sein, zwei verschiedene Eingangszeichenfolgen zu fin- 
den, die dieselbe Ausgangszeichenfolge ergeben. 

Wenn die zweite Zuf allszahl r verwendet wird, so 

65 weist die erste EingangsgrdBe der ersten Hash-Funk- 
tion hi zusatzlich mindestens die zweite ZufaUszahl r 
auf. 

Nun wird in der Netzcomputereinheit N eine Ant- 
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wort A gebiJdet Zur Bildung der Antwort A sind ver- 
schiedene Vananten vorgesehen. So ist es z. R mogiich 
daB nut dem SitzungsschlOssel K unter Verwendung 
einer VerschlQsselungsfunktion Enc eine Konstante 
const verschlOsselt wird. Die Konstante const ist sowohl 
der Benutzercomputereinheit U als auch der Netzcom- 
putereinheit N bekannt Auch die Verschlusseiungs- 
funktion Enc ist sowohl der Netzcomputereinheit N aJs 
auch der Benutzercomputereinheit U als die in dem er- 
findungsgem&Ben Verfahren zu verwendende Ver- 
schlflsselungsfunktion bekannt 

Eine weitere MSglichkeh, die Antwort A zu bilden 
hegt z. B. darin, daB der SitzungsschlOssel K als Ein- 
gangsgrdBe fQr eine dritte Hash-Funktion h3 verwendet 
wird und der "gehashte" Wert des SitzungsschlQssels K 
als Antwort A verwendet wird Weitere MSglichkeiteiL 
die Antwort A zu bilden, die zur Oberprflfung des Sit- 
zungsschlQssels K in der Benutzercomputereinheit U 
verwendet wird, sind dem Fachmann gelaufig und kon- 
nen als Vananten zu den beschriebenen Vorgehenswei- 
sen verwendet werden. 

Eine Aneinanderreihung der zweiten Zufallszahl r 
der Antwort A, sowie ein optionales erstes Datenfeid 
datt bilden eine zweite Nachricht M2. Die zweite Zu- 
fallszahl r und das optionale erste Datenfeid datl sind 
nur in der zweiten Nachricht 112 enthaiten, wenn diese 
m dem erfindungsgemaBen Verfahren vorgesehen wer- 
den. 

Die zweite Nachricht M2 wird in der Netzcompute- 
reinheit N codiert und zu der Benutzercomputereinheit 
U ubertragen. 

In der Benutzercomputereinheit U wird die zweite 
Nachricht M2 decodiert, so daB die Benutzercompute- 
reinheit U eventuell die zweite Zufallszahl r, die Ant- 
wort A sowie eventuell das optionale erste Datenfeid 
datl zur VerfOgung hat. Die Lfinge des optionalen er- 
sten Datenfeldes datl kann beliebig grofl sein, d. h. es ist 
auch mdghch, daB das optionale erste Datenfeid datl 
nicht vorhanden ist. 

In der Benutzercomputereinheit U wird nun ebenfalls 
der SitzungsschlOssel K gebildet mit Hilfe der ersten 
Hash-Funktion hi, die sowohl der Netzcomputereinheit 
N als auch der Benutzercomputereinheit U bekannt ist. 
Eine zweite EingangsgrdBe der ersten Hash-Funktion 
hi zur Bildung des Sitzungsschlussels K in der Benut- 
zercomputereinheit U weist mindestens einen zweiten 
Term auf. Der zweite Term wird gebildet aus einer Ex- 
ponentation eines dffentlichen Netzschlusseis g 5 mit der 
ersten Zufallszahl t Wenn die Verwendung der zweiten 
Zufallszahl r in dem erfindungsgemaBen Verfahren vor- 
gesehen wird, so weist die zweite EingangsgrdBe der 
ersten Hash-Funktion hi zur Bildung des Sitzungs- 
schlQssels K in der Benutzercomputereinheit U zusatz- 
lich die zweite Zufallszahl auf. 

Durch die Verwendung der ersten Zufallszahl t und 
der zweiten Zufallszahl r bei der Generierung des Sit- 
zungsschlQssels K wird die Alctualitat des Sitzungs- 
schlOssels K gewahrleistet, da jeweils die erste Zufalls- 
zahl t als auch die zweite Zufallszahl r nur fur jeweils 
einen SitzungsschlOssel K verwendet werden. 

Somit wird eine Wiedereinspielung eines alteren 
SchlQssels als SitzungsschlOssel K verhindert Die Ak- 
tualitat des SitzungsschlQssels K ist auch bedeutend im 
Zusammenhang mit der Fragestellung, wie groB die er- 
ste Zufallszahl t sowie die zweite Zufallszahl r sein mQs- 
sen. Dies wird deutlich, da eine geringere Lange der 
Zufallszahlen das DLP- Problem verringern, d h. je kur- 
zer die Zufallszahl ist, desto einfacher ist die Logarith- 



mierung, also z. B. das Herausfmden der ersten Zufalls- 
zahl t aus dem ersten Wert g l . Wenn aber fur jeden 
neuen SitzungsschlOssel K andere Zufallszahlen ver- 
wendet werden, so ist die Wahrscheinlichkeit, daB der 
5 verwendete SitzungsschlOssel K von einem unbefugten 
Dntten schon herausgefunden wurde, wesendich gerin- 
ger. Damit ist die Gefahr, daB der Teil einer Nachricht, 
der mit dem SitzungsschlOssel K verschiOsselt ist, von 
einem unbefugten Dritten entschiOsselt werden kann, 
io erheblich reduziert 

Nachdem in der Benutzercomputereinheit U der Sit- 
zungsschlOssel K gebildet wurde, wird anhand der emp- 
fangenen Antwort A OberprOft, ob der in der Benutzer- 
computereinheit U gebildete SitzungsschlOssel K mit 
is dem SitzungsschlOssel K, der in der Netzcomputerein- 
heit N gebildet wurde, Obereinstiramt Abhangig von 
den im vongen beschriebenen Varianten zur Bildung 
der Antwort A sind verschiedene Mdglichkeiten vorge- 
sehen, den SitzungsschlOssel K anhand der Antwort A 
20 zu uberprufen. 

Eine Moglichkeit besteht z. B. darin, daB, wenn die 
Antwort A in der Netzcomputereinheit N durch Ver- 
scWusselung der Konstante const mit dem Sitzungs- 
schlOssel K unter Verwendung der VerschlQsselungs- 
25 funkoon Enc gebildet wurde, die Antwort A entschiOs- 
selt wird, und somit die Benutzercomputereinheit U ei- 
ne entschlflsselte Konstante const' erhait, die mit der 
bekannten Konstante const verglichen wird. 
Die Uberprilfung des Sitzungsschlussels K anhand 
30 der Antwort A kann auch durchgefOhrt werden, indem 
die der Benutzercomputereinheit U bekannte Konstan- 
te const mit dem in der Benutzercomputereinheit U 
gebildeten SitzungsschlOssel K unter Verwendung der 
VerschlOsselungsfunktion Enc verschlOsselt wird und 
35 das Ergebnis mit der Antwort A auf Obereinstimmung 
gepruft wird. Diese Vorgehensweise wird z. B. auch ver- 
wendet, wenn die Antwort A in der Netzcomputerein- 
heit N gebildet wird, indem auf den SitzungsschlOssel K 
die dritte Hash-Funktion h3 angewendet wird. In diesem 
40 Fall wird in der Benutzercomputereinheit U der in der 
Benutzercomputereinheit U gebildete SitzungsschlOssel 
K als EingangsgrdBe der dritten Hash-Funktion h3 ver- 
wendet Der "gehashte" Wert des in der Benutzercom- 
putereinheit U gebildeten Sitzungsschlussels K wird 
45 dann mit der Antwort A auf Obereinstimmung gepruft 
Damit wird das Ziel der Schlusselbestatigung des Sit- 
zungsschlussels K erreicht 

Dadurch, daB bei der Berechnung des Sitzungsschlus- 
sels K in der Netzcomputereinheit N der geheime Netz- 
so schlussel s und bei der Berechnung des Sitzungsschlus- 
sels K in der Benutzercomputereinheit U der dffentliche 
NetzschlOssel g* verwendet werden, wird die Netzcom- 
putereinheit N durch die Benutzercomputereinheit U 
authentifiziert Dies wird erreicht vorausgesetzt daB fur 
55 die Benutzercomputereinheit U bekannt ist daB der df- 
fentliche NetzschlOssel g 5 tatsachlich zur Netzcompute- 
reinheit N gehdrt 

Im AnschluB an die Bestatigung des SitzungsschlGs- 
sels K durch Oberprflfung der Antwort A wird ein Si- 
60 gnaturterm berechnet Hierzu wird mit Hilfe einer zwei- 
ten Hash-Funktion h2 eine vierte EingangsgrdBe gebil- 
det Die zweite Hash-Funktion hi kann, muB aber nicht 
dieselbe Hash-Funktion sein wie die erste Hash-Funk- 
tion hi. Als eine dritte EingangsgrdBe fflr die zweite 
65 Hash-Funktion h2 wird ein Term verwendet der minde- 
stens den SitzungsschlOssel K enthalt Weiterhin kann 
die dritte EingangsgrdBe das optionale erste Datenfeid 
datl oder auch ein optionales zweites Datenfeid dat2 
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enthaiten, wenn deren Verwendung in dem erfindungs- 
gemaBen Verfahren vorgesehen wird. 

£s kann spater nicht abgestrittcn werden, daB die 
Daten, die ira ersten optional e Datenfeld datl und im 
zweiten optionalen Datenfeld dat2 enthaiten sind, von 
der Benutzercompirtereinheit U gesendet wurden. 

Die in dem ersten optionalen Datenfeld datl und in 
dem zweiten optionalen Datenfeld dat2 enthaltenen Da- 
ten kdnnen z. B. Telefonnummern, die aktuefle Zeit oder 
ihnltche hierfur geeignete Parameter sein. Diese Infor- 
mation kann als Werkzeug fur eine unanfechtbare Ge- 
bOhrenabrechnung verwendet werden. 

Unter Verwendung einer ersten Signaturfunktion Si- 
gu wird der Signaturterm aus mindestens der vierten 
EingangsgroBe gebildet Urn einen hdheren Sicherheits- 
grad 2U erzielen, kann der Signaturterm verschlusselt 
werden. Der Signaturterm wird in diesem Fall mit dem 
Sitzungsschlussel K. unter Verwendung der VerschlOs- 
selungsfunktion Enc verschlusselt und bildet den ersten 
verschlQsselten Term VT1. 

AuBerdem wird, falls das Sicherheitsziel "Anonymitat 
des Benutzers" realisiert werden soil, ein zweiter ver- 
schlusselter Term VT2 berechnet, in dem eine Identi- 
tatsgrdBe IMUi der Benutzercomputereinheit U mit 
dem Sitzungsschlussel K mit Hilfe der VerschJQssel- 
ungsfunktion Enc verschlusselt wird Bei Verwendung 
eines optionalen zweiten Datenfeldes dat2 wird in der 
Benutzercomputereinheit U ein dritter verschlusselter 
Term VT3 berechnet, indem das optionale zweite Da- 
tenfeld dat2 mit dem Sitzungsschlussel K unter Verwen- 
dung der Verschlusselungsfunktion Enc verschlusselt 
wird, das optionale zweite Datenfeld dat2 kann auch 
unverschlusselt Qbertragen werden. 

In der Benutzercomputereinheit U wird eine dritte 
Nachricht M3 gebildet und codiert, die mindestens den 
Signaturterm und die IdentitatsgrdBe |MU| der Benut- 
zercomputereinheit U aufweist 

Falls die Anonymit&t der Benutzercomputereinheit U 
gewahrleistet werden soil, weist die dritte Nachricht M3 
anstatt der IdentitatsgrdBe |MU| der Benutzercompute- 
reinheit U mindestens den zweiten verschlQsselten 
Term VT2 auf, der die Information aber die Identitat der 
Benutzercomputereinheit U in verschlusselter Form 
enthalt, die nur von der Netzcomputereinheit N ent- 
schlQsselt werden kann. 45 

Wenn die Verwendung des optionalen zweiten Da- 
tenfelds dat2 vorgesehen wird, weist die dritte Nach- 
richt M3 zusatzlich mindestens den dritten verschlOssel- 
ten Term VT3 oder das optionale zweite Datenfeld dat2 
im Klartext auf. so 

Wenn die dritte Nachricht M3 den ersten verschlus- 
selten Term VT1, den zweiten verschlQsselten Term 
VT2 oder den dritten verschlQsselten Term VT3 enthalt, 
werden diese in der Netzcomputereinheit N entschlus- 
selt. Dies geschieht fur den eventuell vorhandenen er- 55 
sten verschiusselten Term VT1 vor der Verifikation des 
Signaturterms. 

Die dritte Nachricht M3 wird von der Benutzercom- 
putereinheit U zu der Netzcomputereinheit N ubertra- 
gen. 60 

Zusatzlich wird die Authentifikation der Benutzer- 
computereinheit U gegenQber der Netzcomputerein- 
heit N durch den Signaturterm gewahrleistet, durch de- 
ren Verwendung garantiert wird, dafl die dritte Nach- 
richt M3 tatsachlich aktuell von der Benutzercompute- ss 
reinheit U gesendet wurde. 

In der Netzcomputereinheit N wird die dritte Nach- 
richt M3 decodiert und anschlieBend wird anhand eines 
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Benuterzertifikats CertU, das der Netzcomputereinheit 
N zur Verf agung stent, der Signaturterm verifiziert 

Wenn fur das erfindungsgemafle Verfahren tempora- 
re Benutzeridentitaten vorgesehen werden, so wird das 
5 im vorigen beschriebene Verfahren urn einige Verf ah - 
rensschritte erweitert 

Zuerst muB der Netzcomputereinheit N bekannt ge- 
macht werden, weiche Benutzercomputereinheit U eine 
neue temporare IdentitatsgrdBe TMUIN von der Netz- 
10 computereinheit N zugewiesen bekommen solL 

Hierzu wird als zusatzlicher Bestandteil der ersten 
Nachricht Ml eine alte temporare IdentitatsgrdBe 
TMUIO von der Benutzercomputereinheit U an die 
Netzcomputereinheit N Qbertragen. 

Nach Empfang der ersten Nachricht Ml ist so mit in 
der Netzcomputereinheit N bekannt, fur weiche Benut- 
zercomputereinheit U die neue temporare Identitats- 
grdBe TMUIN bestimmt ist 

In der Netzcomputereinheit N wird dann die neue 
temporare IdentitatsgrdBe TMUIN fur die Benutzer- 
computereinheit U gebildet Dies kann z. B. durch Ge- 
nerierung einer Zufallszahl oder durch Tabeilen, in de- 
nen mdgiiche IdentitatsgrdBen abgespeichert sind, 
durchgefuhrt werden. Aus der neuen temporiiren Iden- 
titatsgroBe TMUIN der Benutzercomputereinheit U 
wird in der Netzcomputereinheit N ein vierter ver- 
schlusselter Term VT4 gebildet, indem die neue tempo- 
rare IdentitatsgroBe TMUIN der Benutzercompute- 
reinheit U mit dem Sitzungsschlussel K unter Verwen- 
dung der Verschlusselungsfunktion Enc verschlusselt 
wird. 

In diesem Fall weist die zweite Nachricht N2 zusatz- 
lich mindestens den vierten verschiusselten Term VT4 
auf. Der vierte verschlQsselte Term VT4 wird dann in 
der Benutzercomputereinheit U entschlQsselt Nun ist 
die neue temporare IdentitatsgrdBe TMUIN der Benut- 
zercomputereinheit U in der Benutzercomputereinheit 
U verf ugbar. 

Damit der Netzcomputereinheit N auch gewahrlei- 
stet wird, daB die Benutzercomputereinheit U die neue 
temporare IdentitatsgrdBe TMUIN korrekt empfangen 
hat, weist die dritte EingangsgroBe fur die erste Hash- 
Funktion hi oder fur die zweite Hash-Funktion h2 zu- 
satzlich mindestens die neue temporare IdentitatsgrdBe 
TMUIN der Benutzercomputereinheit U auf. 

Da die Information der neuen temporaren Identitats- 
grdBe TMUIN in dem Signaturterm in diesem Fall ent- 
haiten ist, weist die dritte Nachricht M3 nicht raehr die 
IdentitatsgrdBe IMUI der Benutzercomputereinheit U 
auf. 

Es ist auch moglich, die neue temporare Identitats- 
grdBe TMUIN nicht in den Signaturterm zu integrieren, 
sondern den zweiten verschlQsselten Term VT2 zu bil- 
den, indem anstatt der IdentitatsgrdBe |MU| der Benut- 
zercomputereinheit U die neue temporare Identitats- 
grdBe TMUIN mit dem Sitzungsschlussel K unter Ver- 
wendung der Verschlusselungsfunktion Enc verschlus- 
selt wird. In diesem Fall weist die dritte Nachricht M3 
zusatzlich den zweiten verschiusselten Temr VT2 auf. 

Die in dem erfindungsgemaBen Verfahren verwende- 
ten Hash-Funktionen, die erste Hash-Funktion hi, die 
zweite Hash-Funktion h2 und die dritte Hash-Funktion 
h3 kdnnen durch die gleiche, aber auch durch verschie- 
dene Hash-Funktionen realisiert werden. 

Patentanspruche 

1. Verfahren zura rechnergestfitzten Austausch 
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kryptographischer Schlussel zwischen einer Benut- 
zercomputereinheit (U) und einer Netzcompute- 
reinheit (N), 

— bei dem aus einer ersten Zufallszahl (t) mit 
Hiife eines erzeugenden Elements (g) einer 5 
endlichen Gruppe in der Benutzercoinpute- 
reinheit (U) ein erster Wert (g 1 ) gebildet wird, 

— bei eine erste Nachricht (Ml) von der Be- 
nutzercomputereinheit (U) an die Netzcompu- 
tereinheit (N) iibertragen wird, wobei die er- 10 
sten Nachricht (Ml) mindestens den ersten 
Wert (g l ) aufweist 

— bei dem in der Netzcomputereinheit (N) ein 
Sitzungsschlussei (K) mit Hilfe einer ersten 
Hash-Funktion (hi) gebildet wird, wobei eine 15 
erste EingangsgrdBe der ersten Hash-Funk- 
tion (hi) mindestens einen ersten Term auf- 
weist, der gebildet wird durch eine Exponen- 
tiation des ersten Werts (g 1 ) mit einem gehei- 
men Netzschlussel (s), 20 

— bei dem in der Netzcomputereinheit (N) 
eine Antwort (A) gebildet wird, 

— bei dem eine zweite Nachricht (M2) von der 
Netzcomputereinheit (N) an die Benutzercoin- 
putereinheit (U) ubertragen wird, wobei die 25 
zweite Nachricht (M2) mindestens die Ant- 
wort (A) aufweist, 

— bei dem in der Benutzercomputereinheit 
(U) der Sitzungsschlussei (K) gebildet wird mit 
Hilfe der ersten Hash-Funktion (hi), wobei ei- 30 
ne zweite EingangsgrdBe der ersten Hash- 
Funktion (hi) mindestens einen zweiten Term 
aufweist, der gebildet wird durch eine Expo- 
nentiation eines 6ffentlichen Netzschlussels 
(g*) mit der ersten Zuf allszahl (t), 35 

— bei dem in der Benutzercomputereinheit 
(U) der Sitzungsschlussei (K) anhand der Ant- 
wort (A) uberpruft wird, 

— bei dem in der Benutzercomputereinheit 
(U) mit Hilfe einer zweiten Hash-Funktion (h2) 40 
oder der ersten Hash-Funktion (hi) eine vierte 
Eingangsgrdfie gebildet wird, wobei eine dritte 
EingangsgrdBe fur die erste Hash-Funktion 
(hi) oder fur die zweite Hash-Funktion (h2) 
zur Bildung der vierten EingangsgroBe minde- 45 
stens den Sitzungsschlussei (K) aufweist, 

— bei dem in der Benutzercomputereinheit 
(U) ein Signaturterm aus mindestens der vier- 
ten EingangsgrdBe gebildet wird unter An- 
wendung einer ersten Signaturfunktion (Sigu), so 

— bei dem eine dritte Nachricht (M3) von der 
Benutzercomputereinheit (U) an die Netzcom- 
putereinheit (N) iibertragen wird, wobei die 
dritte Nachricht (M3) mindestens den Signa- 
turterm und eine IdentitatsgrdBe (IMU1) der 55 
Benutzercomputereinheit (U) aufweist, und 

— bei dem in der Netzcomputereinheit (N) der 
Signaturterm verifiziert wird. 

2. Verfahren nach Anspruch 1, 

— bei dem in der Netzcomputereinheit (N) die go 
erste EingangsgrdBe der ersten Hash-Funk- 
tion (hi) zusatzlich mindestens eine zweite Zu- 
fallszahl (r) aufweist, 

— bei dem die zweite Nachricht (M2) zusatz- 
lich die zweite Zuf allszahl (r) aufweist, und 55 

— bet dem in der Benutzercomputereinheit 
(U) die zweite EingangsgroBe der ersten Hash- 
Funktion (hi) zusatzlich mindestens die zweite 
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Zufallszahl (r) aufweist 

3. Verfahren nach Anspruch 1 oder 2, 

— bei dem die erste Nachricht (Ml) zusatzlich 
mindestens eine alte temporare Identitatsgrd- 
Be (TMUIO) der Benutzercomputereinheit (U) 
aufweist, 

— bei dem in der Netzcomputereinheit (N), 
nach dem die ersten Nachricht (Ml) empfan- 
gen wurde und bevor die zweite Nachricht 
(M2) gebildet wird, fur die Benutzercompute- 
reinheit (U) eine neue temporare Identitats- 
grdBe (TMUIN) der Benutzercomputereinheit 
(U) gebildet wird, 

— bei dem aus der neuen temporaren Identi- 
tatsgrdBe (TMUIN) der Benutzercompute- 
reinheit (U) ein vierter verschlOsselter Term 
(VT4) gebildet wird, in dem die neue tempora- 
re IdentitatsgrdBe (TMUIN) der Benutzer- 
computereinheit (U) mit dem Sitzungsschlus- 
sei (K) unter Anwendung der Verschlussel- 
ungsfunktion (Enc) verschlusselt wird, 

— bei dem die zweite Nachricht (M2) zusatz- 
lich mindestens den vierten verschlusselten 
Term (VT4) aufweist, 

— bei dem in der Benutzercomputereinheit 
(U), nachdem die zweite Nachricht (M2) emp- 
fangen wurde und bevor die vierte Eingangs- 
grdBe gebildet wird, der vierte verschlusselte 
Term (VT4) entschlusselt wird, 

— bei dem die dritte EingangsgrdBe fur die 
erste Hash-Funktion (hi) oder filr die zweite 
Hash-Funktion (h2) zur Bildung der vierten 
EingangsgrdBe zusatzlich mindestens die neue 
temporare IdentitatsgrdBe (TMUIN) der Be- 
nutzercomputereinheit (U) aufweist, und 

— bei dem die dritte Nachricht (M3) nicht die 
IdentitatsgrdBe (IMUI) der Benutzercompute- 
reinheit (U) aufweist 

4. Verfahren nach einem der Anschlusse 1 bis 3, 

— bei dem in der Benutzercomputereinheit 
(U) vor Bildung der dritten Nachricht (M3) aus 
der IdentitatsgrdBe (IMUI) der Benutzercom- 
putereinheit (U) ein zweiter verschlusselter 
Term (VT2) gebildet wird, in dem die Identi- 
tatsgrdBe (IMUI) mit dem Sitzungsschlussei 
(K) unter Anwendung der VerschlQsselungs- 
f unktion (Enc) verschlusselt wird, 

— bei dem die dritte Nachricht (M3) anstatt 
der IdentitatsgrdBe (IMUI) der Benutzercom- 
putereinheit (U) den zweiten verschlusselten 
Term (VT2) aufweist und 

— bei dem in der Netzcomputereinheit (N), 
nachdem die dritte Nachricht (M3) empfangen 
wurde, der zweite verschlusselte Term (VT2) 
entschlusselt wird. 

5. Verfahren nach einem der Anspruche 1 bis 4, 

— bei dem die zweite Nachricht (M2) zusatz- 
lich ein optionales erstes Datenfeld (datl) auf- 
weist und 

— bei dem die dritte EingangsgrdBe fur die 
erste Hash-Funktion (hi) oder fur die zweite 
Hash-Funktion (h2) zur Bildung der vierten 
EingangsgrdBe zusatzlich mindestens das op- 
tionale erste Datenfeld (datl) aufweist 

6. Verfahren nach einem der Anspruche 1 bis 5, 

— bei dem in der Benutzercomputereinheit 
(U) vor Bildung der dritten Nachricht (M3) ein 
dritter verschlusselter Term (VT3) gebildet 
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wird indem ein optionales zweites Datenfeld 
(dat2) mit dem Sitzungsschlussel (K) unter An- 
wendung der Verschlusselungsfunktion (Enc) 
verschlusselt wird, 

— bei dem die dritte Nachricht (M3) zusatzlich 5 
mindestens den dritten verschlusselten Term 
(VT3) aufweist, und 

— bei dem in der Netzcomputereinheit (N), 
nachdem die dritte Nachricht (M3) empfangen 
wurde, der dritte verschlOsselte Term (VT3) 10 
entschltisselt wird. 

7. Verfahren nach einem der AnsprOche 1 bis 6, 

— bei dem in der Benutzercomputereinheit 
(U) vor Bildung der dritten Nachricht (M3) ein 
erster verschliisselter Term (VT1) gebildet 15 
wird, indem der Signaturterm mit dem Sit- 
zungsschlussel (K) unter Anwendung der Ver- 
schlQsselungsfunktion (Enc) verschlusselt wird, 

— bei dem die dritte Nachricht (M3) anstatt 
des Signaturterms den ersten verschlOsselten 20 
Term(VTl) aufweist, und 

— bei dem in der Netzcomputereinheit (N), 
nachdem die dritte Nachricht (M3) empfangen 
wurde und bevor der Signaturterm verifiziert 
wird, der erste verschliisselte Term (VT1) ent- 25 
schltisselt wird 

8. Verfahren nach einem der Anspruche 1 bis 7, bei 
dem in der Netzcomputereinheit (N) die Antwort 
(A) gebildet wird, indem eine Konstante (const), die 

in der Netzcomputereinheit (N) und in der Benut- 30 
zercomputereinheit (U) bekannt sind, mit dem Sit- 
zungsschlussel (K) unter Anwendung der Ver- 
schlusselungsfunktion (Enc) verschlusselt wird 

9. Verfahren nach einem der AnsprQche 1 bis 7, 

— bei dem in der Netzcomputereinheit (N) die 35 
Antwort (A) gebildet wird, indem auf den Sit- 
zungsschlussel (K) eine dritte Hash-Funktion 
(h3) angewendet wird, und 

— bei dem in der Benutzercomputereinheit 
(U) die Antwort (A) uberprOft wird, indem auf 40 
den Sitzungsschlussel (K) die dritte Hash- 
Funktion (h3) angewendet wird, und das Er- 
gebnis mit der Antwort (A) verglichen wird 

10. Verfahren nach einem der Ansprtlche 1 bis 7 
oder 9, bei dem in der Benutzercomputereinheit (U) 45 
die Antwort (A) uberpruft wird, indem die Kon- 
stante (const) mit dem Sitzungsschlussel (K) unter 
Anwendung der Verschlusselungsfunktion (Enc) 
verschlusselt wird und das Ergebnis mit der Ant- 
wort (A) verglichen wird. 50 

11. Verfahren nach einem der Anspruche 1 bis 7 
oder 9, bei dem in der Benutzercomputereinheit (U) 
die Antwort (A) Gberprttft wird indem die Antwort 
(A) mit dem Sitzungsschlussel (K) unter Anwen- 
dung der Verschliisselungsfunktion (Enc) entschlus- 55 
selt wird und eine entschlusselte Konstante (const') 
mit der Konstante (const) verglichen wird 

1Z Verfahren nach einem der Anspruche 1 bis 5, bei 
dem die dritte Nachricht (M3) zus£tzlich minde- 
stens ein optionales zweites Datenfeld (dat2) auf- 60 
weist 
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